Windowsに標準搭載されているBitLockerは、無料でできるセキュリティ対策として有用なツールです。本記事では、BitLockerの暗号化の仕組みや使用における注意点について解説します。

BitLockerとは

BitLockerは、Windows 10や11に搭載されているディスク暗号化機能のことで、ユーザーのデータを不正アクセスから守るためのツールです。HDDやSSDなどのストレージ全体を暗号化するため、PCの紛失や盗難が発生しても、データが第三者に読み取られることを防ぎます。特に、ストレージがPCから取り外された場合や、PCを売却、処分、譲渡する場面でもデータの保護が継続される点がメリットです。

暗号化されたストレージにアクセスするためには、設定したパスワードの入力や、ICカードなどの認証手段が必要です。現在の技術レベルでは、暗号化されたデータの解読には非常に長い時間がかかるため、現実的な時間内でのデータの漏洩はないと考えられています。

なお、USBメモリや外付けHDDなどの暗号化が可能となる「BitLocker To Go」と呼ばれる機能もあります。

BitLockerによる暗号化の仕組み

BitLockerの暗号化は、TPM（Trusted Platform Module）と呼ばれるセキュリティ専用のICチップを活用して行われます。TPMはPC内にあるマザーボードの基板に組み込まれており、公開鍵暗号やハッシュ値の演算、乱数生成、デジタル署名の作成といったセキュリティ関連の機能を持ちます。TPMは、保存した暗号鍵やハッシュ値などのデータを不揮発性のメモリに格納して、外部からの不正アクセスを困難にします。

BitLockerを利用すると、データはチップ固有のキーを使用して暗号化されるため、HDDやSSDがほかの端末に移されても、正しいキーがなければデータを復号できません。そのため端末が故障した場合でも、ほかの端末でストレージ内のデータを読み取ることは困難です。クラウドストレージなどを活用し、定期的にデータをバックアップしておくとよいでしょう。

BitLockerの注意点

BitLockerは回復キーに関するトラブルが多いため、適切な管理が必要です。また、管理者アカウントを使うとBitLockerの有効化や無効化が可能となるため、権限の管理にもご注意ください。

回復キーの管理が必要

BitLockerを使用する際には「回復キー」が重要で、これがないとBitLockerで暗号化されたデータへのアクセスはほぼ不可能です。回復キーは、特定の48桁の数字で構成されており、コントロールパネルの「BitLockerドライブ暗号化」から保管できるため、確認しておくとよいでしょう。回復キーはMicrosoftアカウントに自動的に保存されますが、念のためほかの安全な場所にも保管しておくことをおすすめします。

PCのトラブルで回復キーの紛失が発生した場合、この保管したキーが役立ちます。BitLockerの暗号化アルゴリズムにはAES-128が採用されており、現時点における技術では暗号を解読するのは非常に困難です。回復キーを持っていれば、正規の手順でデータを復号できます。

過去には、PCの起動時にBitLockerの回復キーの入力を要求されるトラブルが発生しています。この問題は既に解決済みで、Windows Updateで提供されるセキュリティパッチの問題でしたが、回復キーがないためにデータが失われてしまうケースもありました。

管理者権限で有効化や無効化が可能

Windowsの管理者アカウントを使用すると、BitLockerによる暗号化の有効化および無効化が可能です。回復キーに関するトラブルが生じた場合でも、管理者アカウントでサインインすれば回復キーを確認でき、BitLockerの解除もできます。

回復キーのバックアップがない場合でも対処できる点はメリットですが、一方で管理者アカウントを使えば誰でも暗号化を解除できてしまうというデメリットにもなります。管理者アカウントの権限設定は適切に管理するようにご注意ください。

BitLockerの管理運用には要注意

Windowsに標準搭載されているBitLockerは、ストレージを暗号化して情報漏洩を防ぐセキュリティツールです。TCPと呼ばれる暗号化チップが用いられているため、ほかの端末にストレージを移しても復号することはできません。ただし、回復キーは適切に管理しておく必要があり、キーを紛失すれば暗号化されたデータにアクセスできなくなるリスクがあります。BitLockerを使用する際は、回復キーおよび管理者権限の管理を適切に行うようにしましょう。